LordPE
軟件語(yǔ)言:簡(jiǎn)體中文
|
軟件授權(quán):免費(fèi)軟件
|
適用系統(tǒng):Windows
|
創(chuàng)建時(shí)間:2020-12-14 |
軟件廠(chǎng)商/開(kāi)發(fā)者信息:獨(dú)立開(kāi)發(fā)者
|
錦囊 更多
- LordPE的教程 2021-03-30
- 提升Git體驗(yàn):探索Gitui——高效的終端UI工具 2024-01-05
- Stirling PDF - 強(qiáng)大的本地 PDF 管理工具 2024-01-05
資訊 更多
- LordPE v1.4 漢化豪華版更新 2019-07-08
- 微信Mac插件——微信小助手,是一款功能強(qiáng)大的插件 2024-01-08
- 完美解碼:打造頂級(jí)視聽(tīng)盛宴的終極使用指南 2024-01-06
LordPE
LordPE的最新版本,改進(jìn)了許多東東,PE 編輯器的功能更加強(qiáng)大,加入了各項(xiàng)目的16進(jìn)制編輯和列表,除了修補(bǔ)了LDS(LordPE Dumper Server)的一些bugs,還增加了一個(gè)LDE(LordPE Dumper Engine),支持新的插件格式,功能增加了,還加入了一些yoda自己寫(xiě)的軟件,對(duì)了,還有一項(xiàng)新的功能,就是:全球首先支持新的 pe 文件格式---pe+,但是只是支持編輯,還不支持脫殼等別的操作。配合手動(dòng)脫殼工具(Ollydbg等)、ImportREC 等,學(xué)習(xí)調(diào)試手動(dòng)脫殼必備的工具!
PE文件
PE 的意思就是 Portable Executable(可移植的執(zhí)行體)。它是 Win32環(huán)境自身所帶的執(zhí)行體文件格式。它的一些特性繼承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的執(zhí)行體)意味著此文件格式是跨win32平臺(tái)的 : 即使Windows運(yùn)行在非Intel的CPU上,任何win32平臺(tái)的PE裝載器都能識(shí)別和使用該文件格式。當(dāng)然,移植到不同的CPU上PE執(zhí)行體必然得有一些改變。所有 win32執(zhí)行體 (除了VxD和16位的Dll)都使用PE文件格式,包括NT的內(nèi)核模式驅(qū)動(dòng)程序(kernel mode drivers)。因而研究PE文件格式給了我們洞悉Windows結(jié)構(gòu)的良機(jī)。
所有 PE文件(甚至32位的 DLLs) 必須以一個(gè)簡(jiǎn)單的 DOS MZ header 開(kāi)始。我們通常對(duì)此結(jié)構(gòu)沒(méi)有太大興趣。有了它,一旦程序在DOS下執(zhí)行,DOS就能識(shí)別出這是有效的執(zhí)行體,然后運(yùn)行緊隨 MZ header 之后的 DOS stub。DOS stub實(shí)際上是個(gè)有效的 EXE,在不支持 PE文件格式的操作系統(tǒng)中,它將簡(jiǎn)單顯示一個(gè)錯(cuò)誤提示,類(lèi)似于字符串 "This program requires Windows" 或者程序員可根據(jù)自己的意圖實(shí)現(xiàn)完整的 DOS代碼。通常我們也不對(duì) DOS stub 太感興趣: 因?yàn)榇蠖鄶?shù)情況下它是由匯編器/編譯器自動(dòng)生成。通常,它簡(jiǎn)單調(diào)用中斷21h服務(wù)9來(lái)顯示字符串"This program cannot run in DOS mode"。
緊接著 DOS stub 的是 PE header。 PE header 是PE相關(guān)結(jié)構(gòu) IMAGE_NT_HEADERS 的簡(jiǎn)稱(chēng),其中包含了許多PE裝載器用到的重要域。當(dāng)我們更加深入研究PE文件格式后,將對(duì)這些重要域耳目能詳。執(zhí)行體在支持PE文件結(jié)構(gòu)的操作系統(tǒng)中執(zhí)行時(shí),PE裝載器將從 DOS MZ header 中找到 PE header 的起始偏移量。因而跳過(guò)了 DOS stub 直接定位到真正的文件頭 PE header。
PE文件的真正內(nèi)容劃分成塊,稱(chēng)之為sections(節(jié))。每節(jié)是一塊擁有共同屬性的數(shù)據(jù),比如代碼/數(shù)據(jù)、讀/寫(xiě)等。我們可以把PE文件想象成一邏輯磁盤(pán),PE header 是磁盤(pán)的boot扇區(qū),而sections就是各種文件,每種文件自然就有不同屬性如只讀、系統(tǒng)、隱藏、文檔等等。 值得我們注意的是 ---- 節(jié)的劃分是基于各組數(shù)據(jù)的共同屬性: 而不是邏輯概念。重要的不是數(shù)據(jù)/代碼是如何使用的,如果PE文件中的數(shù)據(jù)/代碼擁有相同屬性,它們就能被歸入同一節(jié)中。不必關(guān)心節(jié)中類(lèi)似于"data", "code"或其他的邏輯概念: 如果數(shù)據(jù)和代碼擁有相同屬性,它們就可以被歸入同一個(gè)節(jié)中。(譯者注:節(jié)名稱(chēng)僅僅是個(gè)區(qū)別不同節(jié)的符號(hào)而已,類(lèi)似"data", "code"的命名只為了便于識(shí)別,惟有節(jié)的屬性設(shè)置決定了節(jié)的特性和功能)如果某塊數(shù)據(jù)想付為只讀屬性,就可以將該塊數(shù)據(jù)放入置為只讀的節(jié)中,當(dāng)PE裝載器映射節(jié)內(nèi)容時(shí),它會(huì)檢查相關(guān)節(jié)屬性并置對(duì)應(yīng)內(nèi)存塊為指定屬性。
如果我們將PE文件格式視為一邏輯磁盤(pán),PE header是boot扇區(qū)而sections是各種文件,但我們?nèi)匀狈ψ銐蛐畔?lái)定位磁盤(pán)上的不同文件,譬如,什么是PE文件格式中等價(jià)于目錄的東東?別急,那就是 PE header 接下來(lái)的數(shù)組結(jié)構(gòu) section table(節(jié)表)。 每個(gè)結(jié)構(gòu)包含對(duì)應(yīng)節(jié)的屬性、文件偏移量、虛擬偏移量等。如果PE文件里有5個(gè)節(jié),那么此結(jié)構(gòu)數(shù)組內(nèi)就有5個(gè)成員。因此,我們便可以把節(jié)表視為邏輯磁盤(pán)中的根目錄,每個(gè)數(shù)組成員等價(jià)于根目錄中目錄項(xiàng)。
版本列表
-
-
LordPE v1.4 漢化豪華版
LordPE是一款簡(jiǎn)單實(shí)用的PE文件分析、修改、脫殼軟件,不僅可以查看PE格式文件信 ...
軟件大?。?span id="m5k1nd8" class="gray">453.93 KB 更新時(shí)間:2019-07-08